私は比較的簡単だと思ったことをやろうとしています。それは、会社のサブネット以外のテスト サーバーへのすべてのトラフィックをブロックすることです。
私は次のようなことを試してみました (この例では 111.111.0.0 がプレースホルダーです) が、ブロックだけが機能しているようです:
block in all
pass in from 111.111.0.0
pass in on en0 from 111.111.0.0
pass in all from 111.111.0.0
これらのパスイン行はどれも機能していないようです (テスト中にコメントアウトした行をすべて取得しているため、一部の行で構文エラーが発生する可能性があることはわかっています)。
これは私が想定していたほど単純ではないのでしょうか? 何か明らかなことを見逃しているのでしょうか?
答え1
単一の IP を指定しているため、サブネットとともに記述する必要があります。
pass in from 111.111.0.0/16
man pf.conf範囲とブロックを定義するいくつかの方法をリストする必要があります。補足ですが、drop quickルールがないように注意してくださいその上あなたのpass、そしてルールなし下に誤って一致し、パケットをブロックする可能性があります。
答え2
サブネットの代わりに IP の範囲を確認する場合は、次の IP 計算リンクを使用してください。
たとえば、あなたのIPが111.90.100.200そして、範囲は111.90.100.1 - 111.90.100.254IPを次のように記述する必要があります111.90.100.0/24または111.90.100.200/24。
さらなる範囲については、IP 計算機へのリンクを使用してください。